Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Datacenter & Verkabelung > IDS/IPS wird fester Bestandteil jeder Next-Generation-Firewall

Sicherheit

IDS/IPS wird fester Bestandteil jeder Next-Generation-Firewall

29. Mai 2013, 15:44 Uhr | Mathias Hein, freier Consultant in Neuburg an der Donau
Fortsetzung des Artikels von Teil 1

Next-Generation-Firewalls

Fragt man 10 Experten, was sie unter dem Begriff „NGFW“ verstehen, erhält man mindestens zwölf Meinungen. Gartner definiert eine NGFW als „Wire-Speed-Netzwerk-Plattform, die über integrierte Deep-Inspection-Funktionen eine exakte Klassifizierung des Datenverkehrs ermöglichen und folgende Zusatzfunktionen bereitstellen:

  • Identifikation der Anwendungen: Port-übergreifende Identifikation der Anwendung, unabhängig vom Protokoll, SSL-Verschlüsselung oder Umgehungsmethode. Die Anwendung wird somit zentraler Bestandteil des definierten Regelwerks.
  • Identifikation von Benutzern, nicht nur von IP-Adressen: Verwendung von in Unternehmensverzeichnissen gespeicherten Benutzerdaten und -gruppen zur Einbindung in das Regelwerk und zur Auswertung (Monitoring und Reporting).
  • Prüfung des Inhalts in Echtzeit: Virenscanning, Intrusion-Prevention, URL-Filtering und Malware-Detection schützen das Netzwerk und Anwendungen und das bei hohen Durchsatzraten und niedrigen Latenzen.
  • Vereinfachte Verwaltung: Eine einfach zu bedienende grafische Oberfläche gibt dem Administrator die nötige Transparenz und Kontrolle über Anwendungen, Benutzer und Inhalte zurück.

NGFWs arbeiten anwendungsbezogen und nutzen eine Vielzahl von Techniken (Anwendungssignaturen, Protokoll- und Nutzlastanalysen). Eine NGFW basiert auf einer Bibliothek von freigegebenen Applikationen zur Prüfung der Datenpakete auf Anomalien. Auf Basis der vordefinierten Anwendungen „durchschauen“ NGFWs neue Anwendungen und deren Verhaltensmuster. Bei Abweichungen von der normalen Verhaltensweise wird ein entsprechender Alarm beziehungsweise die hierfür notwendige Aktion ausgelöst. Moderne Applikationen umgehen herkömmliche portbasierte Firewalls durch Port-Hopping mit SSL und SSH, Tunneln über Port 80 oder die Nutzung nicht standardisierter Ports. Auf Basis von App-IDs wird automatisch die genaue Identität (auf Basis mehrerer Verkehrsklassifizierungsmechanismen) von Anwendungen im Netzwerk erkannt. Daher ist es nicht mehr notwendig, spezielle Einstellungen für eine bestimmte Anwendung vorzunehmen, denn die Identifizierungsmechanismen erlauben eine exakte Erkennung der Regeln über alle Ports hinweg. In Kombination mit einer Richtlinienprüfung wird entschieden, wie die Datenströme behandelt werden: Blockieren, Zulassen oder sicheres Aktivieren.

In der Vergangenheit wurden die Sicherheitsrichtlinien nur auf reine IP-Adressen angewendet. Da aber die Benutzer und auch die Programme zunehmend dynamischer arbeiten, taugt dieser Mechanismus für die Überwachung und Kontrolle von Benutzeraktivitäten nicht mehr. Über die vorhandenen Unternehmensverzeichnisse (Active-Directory, eDirectory, LDAP, Citrix, Microsoft-Terminal-Server, Xen-Works, etc.) lassen sich individuelle Benutzerdaten in die Sicherheitsrichtlinien des Unternehmens integrieren und die Benutzerdaten auf die genutzten IP-Adressen abbilden.Unternehmen müssen heute einerseits ihre Geschäftsanwendungen betreiben, aber andererseits die Anwendungen der Mitarbeiter (beispielsweise Social-Media oder Gaming) im Zaum halten. Die privaten Anwendungen verschwenden oft viel Bandbreite und stellen ein erhöhtes Sicherheitsrisiko dar. In Verbindung mit der App-ID und einer Content-ID kann der Administrator gezielt die zu nutzenden Anwendungen freischalten.

Die App-ID dient der Identifizierung und Kontrolle der Anwendungen im Netzwerk und mithilfe der Content-ID werden die Richtlinien der Anwendung umgesetzt. Somit werden Angriffe blockiert und die Übertragung von unzulässigen Dateien und sensiblen Daten begrenzt. Darüber hinaus sorgen Content-IDs für ein streambasiertes Suchen nach Exploits und neuen Sicherheitslücken, Viren, Spyware oder Würmern.

Weiß der Sicherheitsadministrator welche Anwendungen im Netzwerk von welchen Benutzern genutzt werden und welche potenziellen Sicherheitsrisiken dadurch entstehen, lassen sich individuelle Aktivierungsrichtlinien erstellen. Beispiele hierfür sind:

  • Zuweisen bestimmter Applikationszugriffe an bestimmte Benutzer- und Nutzergruppen im Unternehmen.
  • Festlegen und Durchsetzen einer Unternehmensrichtlinie, die eine bestimmte Webmail- und Instant-Messaging-Nutzung zulässt und überprüft.
  • Zulassen der Nutzung von MSN und Google-Talk, aber Blockieren ihrer jeweiligen Dateiübertragungsfunktionen.
  • Zulassen von Sharepoint-Admin nur für das Sharepoint-Administrationsteam, und Zulassen des Zugriffs auf Sharepoint-Docs für alle anderen Benutzer.
  • Implementierung von Richtlinien zum Bandbreitenmanagement, mit denen Media- und andere bandbreitenintensive Anwendungen begrenzt werden können, um VoIP-Applikationen nicht zu behindern.
  • Identifizieren der Übertragung von vertraulichen Informationen wie Kreditkartennummern, entweder im Text- oder Dateiformat.
  • Implementierung von Richtlinien für die Filterung von URLs, die den Zugriff auf offensichtlich für private Zwecke genutzte Websites blockieren, Überwachung fraglicher Websites und „Coaching“ des Zugriffs auf andere Websites unter Verwendung benutzerdefinierter Sperrseiten.
  • Ablehnen des gesamten Verkehrs aus bestimmten Ländern oder Blockieren von unerwünschten Anwendungen wie P2P-Filesharing, Umgehungsprogrammen oder externen Proxies. Durch den Einsatz von Next-Generation-Firewalls scheint sich die IT-Sicherheit deutlich zu verbessern. Die Kehrseite der integrierten Sicherheitsfunktionen resultiert jedoch in einem deutlich erhöhten Verwaltungsaufwand. Die Entscheidung, welche Filter aktiviert und in welchen Kombinationen eingesetzt werden, ist nicht immer eindeutig zu treffen. Aus diesem Grund sind die Hersteller gefordert, die dem Administrator beim Tuning zur Seite stehen. Da sich die Sicherheitsanforderungen ständig verändern und an die Unternehmensrichtlinien angepasst werden müssen, gehören Software-Updates bei NGFW-System zum Alltag. Daher ist es wichtig, dass die Updates ohne Downtime durchgeführt werden können.

Anbieter zum Thema

dtm Datentechnik Moll GmbH
Vertiv GmbH
Rittal GmbH & Co. KG
AixpertSoft GmbH
nexspace data centers GmbH
Matchmaker+
zu Matchmaker+
  1. IDS/IPS wird fester Bestandteil jeder Next-Generation-Firewall
  2. Next-Generation-Firewalls
  3. Trotz NGFWs bleibt der Stand-alone-IPS-Markt stabil

Lesen Sie mehr zum Thema

Server, Datacenter
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Server, Datacenter

Direktanschluss an Atomkraftwerk

Amazon plant 20-Milliarden-Investition in Rechenzentren

Fokus auf Colocation-Services

Christian Zipp ist neuer CEO bei Nexspace

Schnell, skalierbar und nachhaltig

Siemens, Cadolto und Legrand zeigen modulares Edge-Rechenzentrum

Energieinfrastruktur für Rechenzentren

Siemens Energy und Eaton planen modulare Komplettlösungen

Schwarz Digits rüstet seine Cloud auf

StackIT soll der erste deutsche Hyperscaler werden

Matchmaker+
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
Xelion GmbH

Xelion GmbH
G DATA CyberDefense AG

G DATA CyberDefense AG
Plusnet GmbH

Plusnet GmbH
Riello UPS GmbH

Riello UPS GmbH
Redgate Software

Redgate Software